Cyber Security wird Pflicht

Cyber Security wird Pflicht

Neue EU-Vorgaben verändern die Spielregeln im Gebäudebetrieb

Die Digitalisierung von Gebäuden schreitet rasant voran. Gebäudeautomation, IoT-Sensorik, Cloud-Anbindungen und vernetzte Energiemanagementsysteme steigern Effizienz, Komfort und Nachhaltigkeit. Gleichzeitig wachsen jedoch die Cyberrisiken im Gebäudebetrieb, wie bei jeder IT-Infrastruktur, deutlich. Mit Regelwerken wie der NIS2-Richtlinie und dem Cyber Resilience Act (CRA) macht die Europäische Union Cyber Security auch im Gebäudebetrieb zur verbindlichen Voraussetzung.

Diese Vorgaben führen in Deutschland zu einem grundlegenden Wandel im Umgang mit Cyber Security in der Gebäudeautomation. Das VDMA Einheitsblatt 24774 gibt in seiner aktuellen Version einen guten Überblick über die Anforderungen an die Cyber Security in Gebäuden.

Für den deutschen Markt sind insbesondere folgende Zeitpunkte relevant: Die NIS2-Richtlinie ist bereits seit dem 18. Oktober 2024 auf EU-Ebene anzuwenden und wird derzeit schrittweise in deutsches Recht überführt. Der Cyber Resilience Act ist am 12. November 2024 in Kraft getreten und wird nach Übergangsfristen verbindliche Sicherheitsanforderungen für digitale Produkte festlegen. Damit wird Cyber Security sowohl im Gebäudebetrieb als auch bei der Herstellung von Gebäudeautomationssystemen zur Pflicht.

Gebäudeautomation als Teil der Cyber-Sicherheitsarchitektur
Moderne Nichtwohngebäude bestehen zunehmend aus hochvernetzten Systemen: Heizungs-, Lüftungs- und Klimaanlagen, Beleuchtung, Zutrittskontrollen, Energiemanagement und Gebäudemanagement sind häufig IP-basiert und mit externen IT-Systemen verbunden. Diese Vernetzung erhöht den Komfort und die Effizienz, macht Gebäude jedoch auch angreifbarer.
Ein Cyberangriff kann daher heute direkte Auswirkungen auf den Gebäudebetrieb haben. Diese reichen von Funktionsausfällen über manipulierte Betriebsparameter bis hin zum Verlust sensibler Gebäudedaten. Genau hier setzen die neuen gesetzlichen Anforderungen an.

NIS2: Cyber Security wird Managementaufgabe im Gebäudebetrieb
Mit der NIS2-Richtlinie verschärft die EU die Anforderungen an die Netz- und Informationssicherheit deutlich. Sie betrifft nicht nur klassische IT-Infrastrukturen, sondern ausdrücklich auch digitale Systeme, die für den Betrieb von Organisationen und Einrichtungen, insbesondere kritischer Infrastruktur, wesentlich sind. Dazu zählen viele Gebäude, wie etwa Krankenhäuser, öffentliche Einrichtungen, Rechenzentren oder große Gewerbeimmobilien. Die neue NIS2 betrifft jedoch nicht nur die kritische Infrastruktur. Der Anwendungsbereich erstreckt sich auf so genannte „wichtige“ und „besonders wichtige Einrichtungen“ aus unterschiedlichsten Branchen. Hierbei dann auf Unternehmen mit mehr als 250 Beschäftigten oder einem Jahresumsatz von über 50 Mio. EUR.

Für den Gebäudebetrieb bedeutet dies einen Paradigmenwechsel. Gebäudeautomations-systeme müssen künftig systematisch in das unternehmensweite Cyber-Risikomanagement integriert werden. Sicherheitskonzepte dürfen sich nicht mehr auf einzelne Komponenten beschränken, sondern müssen das Zusammenspiel von IT und Gebäudeautomation ganzheitlich betrachten. So werden beispielsweise auch Konzepte für Kryptographie, Verschlüsselung, Zugriffskontrolle, Multi-Faktor-Authentifizierung und Backups für eine Wiederherstellung benötigt.

Zugleich rückt die Verantwortung stärker in die Führungsebene. Cyber Security wird zur Aufgabe der Geschäftsleitung und damit zu einem festen Bestandteil von Governance und Organisation. Auch Meldepflichten bei schwerwiegenden Sicherheitsvorfällen erhöhen den Handlungsdruck und machen transparente Prozesse unerlässlich.

Cyber Resilience Act: Sicherheit wird Produktanforderung
Während NIS2 vor allem den Betrieb adressiert, setzt der Cyber Resilience Act direkt bei den eingesetzten Produkten und Systemen an. Er verpflichtet Herstellende digitaler Produkte dazu, Cyber Sicherheit über den gesamten Lebenszyklus hinweg zu gewährleisten. Davon betroffen sind auch zentrale Komponenten der Gebäudeautomation, von Automationsstationen und Gateways über MBE-Software des Gebäudemanagements bis hin zu IoT-Sensorik und cloudbasierten Plattformen.

Sicherheit muss künftig bereits in der Entwicklung berücksichtigt werden. Update- und Patch-Fähigkeit, ein strukturierter Umgang mit Schwachstellen sowie transparente Sicherheitsdokumentation werden zu verbindlichen Anforderungen. Für den Betrieb bedeutet das mehr Investitionssicherheit, für Herstellung und Integration jedoch auch eine klare Verantwortung für die Cyber-Resilienz ihrer Lösungen.

Cyber Security und Datenschutz in Gebäuden
Neben der Betriebssicherheit bleibt auch der Datenschutz nach DSGVO zentral. Gebäudeautomation verarbeitet zunehmend personenbezogene Daten, etwa über Zutrittskontrollen, Anwesenheit oder nutzerbezogene Komfortfunktionen. Sicherheitslücken können daher nicht nur technische, sondern auch rechtliche Konsequenzen haben. Cyber Security und Datenschutz müssen daher im Gebäudebetrieb gemeinsam betrachtet werden.

Cyber Security als Fundament moderner Gebäude
Mit NIS2 und dem Cyber Resilience Act ist klar: Cyber Security wird zur Grundvoraussetzung für den sicheren, effizienten und nachhaltigen Betrieb von Gebäuden in Deutschland. Betrieb, Planung und Herstellung müssen Gebäudeautomation als Teil der digitalen Sicherheitsarchitektur verstehen und aktiv steuern.
Cyber resiliente Gebäude erhöhen die Betriebssicherheit, schaffen Vertrauen und sichern langfristig den Wert von Immobilien. Wer heute in Gebäudeautomation investiert, sollte die Sicherheit von Anfang an mitdenken.
SAUTER stellt digitale Produkte für die Gebäudeautomation her und hat diese zusätzlichen Anforderungen erkannt. Bereits seit 2025 werden neue Entwicklungen solcher Produkte nach dem IEC 62443-4-1 Standard entwickelt. Dieser Standard bildet zum Großteil bereits heute diese CRA Anforderungen an digitale Produkte ab.

KI-unterstützter Artikel